По подразбиране, Microsoft Windows и основни препоръки, взети от управителния орган на инструмент Microsoft Security съвместимост.
Следните настройки на политиката основен одит се препоръчват за системи за сигурност от компютър, който не се знае, че са активни, определени от успешна атака опоненти или зловреден софтуер.
Този раздел съдържа таблица, която описва препоръчителните настройки за одит, които се прилагат за следните операционни системи:
Тези таблици съдържат по подразбиране Windows, основни съвети и по-надеждни насоки за тези операционни системи.
Символи политика маса одит
Всичко за управление на логовете планира да следите работни станции и сървъри. Това е често срещан сървъри само монитор или домейн контролери. Поради често първоначално злонамерен атаката на работните станции, следи работни станции не пропускайте най-добрите и най-ранната източник на информация.
Perfect събитие да се създаде предупреждение за сигурност трябва да съдържа следните атрибути:
Вероятността е високо, се вижда от появата на неоторизирани действия
малък брой фалшиви положителни резултати;
Записът трябва да доведе до реакция на разследване и проучване
Два вида събития е необходимо да се оцени и предупреждение:
Тези събития, в които даден момент, показващи неоторизирани действия
Натрупването на броя на събитията над очакваните и приемливи критерии.
Пример за първото събитие е:
Ако сървър никога не трябва да се свърже към сървъра B, предупредително съобщение, когато те се свързват помежду си.
Ако работниците и служителите в завода местоположение А не могат да работят през нощта, като предупреди, когато даден потребител влезе в системата в полунощ.
Ако не разполагате с членове в групата DA, и някой се добавя там, проверете го веднага.
Пример за втория случай -:
Bad брой откази за влизане може да посочи парола напукване атака. По отношение на предприятията за предоставяне на уведомление за необичайно голям брой неуспешни влизания те трябва да разбират нормалните тарифи влизане грешки в корпоративната среда, преди защитата на събитието зловреден софтуер.
Пълен списък на събития, които трябва да бъдат включени в знаците за проследяване, разкриване, вижте Приложение М:. Монитор събитие.
По-долу са потребителски акаунти, групи, и атрибути, които искате да следите за откриване на опити за проникване на Active Directory Domain Services инсталиране.
Система за да деактивирате или премахване на програми от вируси и зловреден софтуер (рестартира автоматично защита, когато ръчно изключена)
Администраторски профили за неупълномощени промени
Действия, извършени с помощта на привилегировани акаунти (автоматично изтриване на акаунта в края на определеното време, или подозрително поведение е изтекъл)
сървъра група по класификацията на натоварвания, която ви дава възможност за бързо идентифициране на сървърите, които трябва да се следи по-точно и по-устойчиво слегнат
промени в свойствата и членството в следните групи AD DS: Enterprise Administrator (EA), администраторите на домейни (DA), администратори (BA) и Схема Администратори (SA)
Увреждания привилегировани акаунти (например, вградени администратор Directory сметки Активни, както и членове на системата), за да позволяват на потребителски акаунти
Управление на сметките във всички операции на запис за списание сметка
Вграден Wizard сигурност конфигурация, за да изберете услугата, на системния регистър, както и настройките на защитната стена на одита, за да се намали площта на контакт. Магистър прилагане на прехода от сървъри, като част от стратегията за управление на обекта.
Всички събития с препоръките на код, следван от важността на оценката, както следва:
Висока: идентификатори събития с голямо значение анти-спам и трябва винаги да бъдат нащрек и веднага да учат.
Близък: оценката на ID събитие средна значимост може да посочи злонамерена активност, но тя трябва да бъде придружено от някои други аномалии (например необичаен брой в определен период от време, в неочаквани ситуации или случаи на компютъра, които обикновено не се очаква събития.). Събитието може също средно от значение R, събрани като индекс и в сравнение с времето.
Ниска: Събитие за самоличност и с нисък приоритет събития не привличат внимание или да доведат до предупреждение, ако не са свързани с прояви, средно или високо ниво на значимост.
Тези насоки са предназначени за осигуряване на основни насоки за администратора. Всички препоръки трябва да бъдат внимателно проверени преди изпълнение в производствена среда.
Свързани статии